Обнаружена активная эксплуатация уязвимости нулевого дня в продуктах Sitecore (CVE-2025-53690)

Специалисты Mandiant оперативно взаимодействовали с разработчиками Sitecore для устранения проблемы. По данным вендора, уязвимость затрагивает клиентов, которые использовали публичные примеры конфигураций в таких продуктах, как Sitecore XP 9.0 и Active Directory 1.4 и более ранних версий. Sitecore подтвердила, что в обновленных развертываниях автоматически генерируются уникальные ключи, а пострадавшим клиентам направлены уведомления.

Атака началась с разведки, в ходе которой злоумышленник отправлял HTTP-запросы к различным конечным точкам веб-сервера, после чего сфокусировался на странице /sitecore/blocked.aspx. Эта страница, не требующая аутентификации, использует скрытое поле ViewState - стандартный механизм ASP.NET для сохранения состояния веб-страниц. При компрометации ключа машины, который обеспечивает целостность и конфиденциальность ViewState, злоумышленник может подписывать вредоносные полезные нагрузки и передавать их на сервер для десериализации.

В логах IIS было зафиксировано, что атакующий отправил POST-запрос к blocked.aspx, на который сервер ответил кодом 302. Одновременно в журнале событий Windows появилась запись с идентификатором 1316 о неудачной проверке ViewState, содержащая зашифрованный полезную нагрузку. Расшифровка показала, что она включала сборник .NET с именем Information.dll, который специалисты Mandiant обозначили как WEEPSTEEL. Этот инструмент предназначен для внутренней разведки: он собирает данные о системе, сетевых адаптерах, дисках и процессах, после чего шифрует их и передает в виде легитимного параметра __VIEWSTATE.

После успешного выполнения кода злоумышленник получил права NETWORK SERVICE и приступил к извлечению конфигурационных файлов, архивируя корневую директорию веб-приложения. Затем были проведены стандартные команды рекогносцировки: whoami, net user, ipconfig, netstat и другие. Для дальнейшего расширения доступа в публичных каталогах были размещены инструменты: архиватор 7za, туннелирующее средство EARTHWORM для организации обратного SOCKS-прокси, удаленный доступ DWAGENT и инструмент разведки Active Directory SHARPHOUND.

На этапе эскалации привилегий злоумышленник создал две учётные записи локальных администраторов - asp$ и sawadmin - и попытался использовать утилиту GoTokenTheft для кражи токенов процессов. Затем были экспортированы регистровые hive SYSTEM и SAM для извлечения хэшей паролей. Для сохранения доступа атакующий отключил expiration паролей для учетных записей администраторов и активно использовал RDP через туннель EARTHWORM.

На заключительном этапе проводилась разведка Active Directory: поиск Domain Controllers, анализ файлов Group Policy Object на наличие зашифрованных паролей, запуск SHARPHOUND для сбора данных о топологии сети и учётных записях. После завершения сбора данных созданные учётные записи были удалены, а атакующий перешел к использованию скомпрометированных учётных данных легитимных администраторов для перемещения по сети.

Несмотря на то, что специалистам Mandiant удалось быстро прервать атаку и предотвратить полный жизненный цикл воздействия, инцидент демонстрирует важность использования уникальных ключей машины в ASP.NET-приложениях и необходимость мониторинга подозрительной активности на критических веб-серверах. Компаниям рекомендуется проверить конфигурации развертываний Sitecore и убедиться в отсутствии образцовых ключей в файлах web.config.

IPv4 Port Combinations

• 103.235.46.102:80
• 130.33.156.194:443
• 130.33.156.194:8080

MD5

• 117305c6c8222162d7246f842c4bb014
• 62483e732553c8ba051b792949f3c6d0
• 63d22ae0568b760b5e3aabb915313e44
• a39696e95a34a017be1435db7ff139d5
• be7e2c6a9a4654b51a16f8b10a2be175
• f410d88429b93786b224e489c960bf5c

SHA256

• 61f897ed69646e0509f6802fb2d7c5e88c3e3b93c4ca86942e24d203aa878863
• a566cceaf9a66332470a978a234a8a8e2bbdd4d6aa43c2c75c25a80b3b744307
• b3f83721f24f7ee5eb19f24747b7668ff96da7dfd9be947e6e24a688ecc0a52b